Op zoek naar mijn eigen ik: here IAM!

Hoe nu verder met Identity en Access Management?

Door: Johan de Jong, Thoughtleader Digital Government bij CGI

Tientallen username en password combinaties. Meerdere soft tokens met pincodes. Een password manager op mijn smartphone die ik open met mijn vingerafdruk. Dat heb ik tegenwoordig allemaal nodig om toegang te krijgen tot mijn werkplek, tot ‘mijn overheid’, mijn favoriete webwinkels, mijn social media, mijn e-mail, mijn pensioengegevens, mijn verzekeringen en mijn bankrekening. En overal waar ik kom, moet ik mijn profiel (NAW, telefoonnummer, geboortedatum) invullen en actueel houden. Als klant, burger en medewerker denk ik dan: dit moet toch anders kunnen!

Vanuit professioneel oogpunt volg ik de ontwikkelingen van alle eID-middelen, zoals eIDAS, Idensys, iDIN, DigiD, eHerkenning, NotarisID en het ZorgID. Naar verwachting blijven er de komende jaren nieuwe eID-middelen komen en gaan. Daarnaast houd ik mij bezig met onderwerpen als identity management, attribute- en role-based authenticatie, machtigen, two factor authentication, client onboarding, know your customer, privacy wet- en regelgeving, encryptie en digital signing. Als je eenmaal aan de slag gaat met IAM (Identity en Access Management) blijkt het een waanzinnig gaaf en uitdagend vakgebied. Een wereld die sterk in beweging is en waarachter veel meer schuil gaat dan je op het eerste gezicht denkt.

Nieuwe tijden, nieuwe (sectorspecifieke) vragen

Dienstverlenende organisaties binnen zowel de overheid en het bedrijfsleven hebben het goed en veilig regelen van toegang tot hun digitale dienstverlening beslist on top of mind. Ze begrijpen dat het van cruciaal belang is hun dienstverlening verder te digitaliseren en de toegankelijkheid hiervan voor hun klanten te vergroten. Waar het vroeger veelal beperkt bleef tot een username en een password, staan organisaties nu voor vragen als ‘Welke inlogmethoden ga ik toestaan?’, ‘Welke kosten krijg ik doorbelast?’, ‘Hoe regel ik machtigingen?’, ‘Kan ik de klant ook digitaal laten ondertekenen?’ en ’Hoe zorg ik voor voldoende privacy?’.

Daarnaast zijn er sectorspecifieke vraagstukken. Zo treedt dit jaar voor overheidsorganisaties bijvoorbeeld de eIDAS-verordening in werking en geldt vanaf 2019 de verplichting om meerdere inlogmiddelen te accepteren op basis van de Wet Digitale Overheid. De financiële dienstverlening staat dankzij PSD2 voor nieuwe identificatie- en authenticatievraagstukken. En de zorgsector worstelt met toegangsvraagstukken en betrouwbaarheidsniveaus met betrekking tot het veilig kunnen ontsluiten van patiëntgegevens. Kortom: genoeg vragen om te beantwoorden en uitdagingen om te overwinnen!

De impasse van Identity en Access Management

Voor de meeste organisaties blijkt IAM echter een ondoorzichtig, complex en vakgebied. Er is bovendien continu beweging als het gaat om inlogmiddelen, wet- en regelgeving en betrouwbaarheidsniveaus. Welke stappen kun je dan het beste kunnen zetten om voorbereid te zijn op de toekomst? Organisaties stellen hun beslissingen en investeringen uit, waardoor er een impasse ontstaat. IAM wordt de missing link in de verdere digitalisering van de dienstverlening.

… en de stappen om weer uit de impasse te geraken

Om uit deze impasse te geraken en echt de volgende stappen te kunnen maken op het gebied van toegangsverlening, is het nodig de belangen van de klanten, dienstverleners en aanbieders van IAM-oplossingen op één lijn te brengen. Hierbij is het de kunst om ondanks de veranderlijke omgeving een situatie te creëren waarin toch een volgende stap mogelijk is. Een aantal aspecten is hierbij van belang:

• De klant bepaalt de inlogmethode
  De praktijk laat een trend zien waarbij de klant (en dus niet de dienstverlener) het inlogmiddel bepaalt. Door van een gewenst betrouwbaarheidsniveau per dienst uit te gaan, kan een dienstverlener meerdere inlogmiddelen die hieraan voldoen aan zijn klanten aanbieden. Op deze wijze wordt de toegankelijkheid van de dienstverlening vergroot en de afhankelijkheid van het inlogmiddel verlaagd. Deze benadering heeft dus zowel voordelen voor de klant (die zijn eigen favoriete inlogmethode kan kiezen), als voor de dienstverlener (beschikbaarheid en toegankelijkheid).
• Verandering als constante
  De komende jaren komen er naar verwachting steeds nieuwe inlogmiddelen bij. Bestaande inlogmiddelen zullen verdwijnen. Ook de grens tussen private (bijvoorbeeld iDin) en publieke inlogmiddelen (zoals eHerkenning en DigiD) vervaagt naar verwachting op termijn. Tot slot krijgen elektronische identiteiten waarschijnlijk steeds meer een internationaal karakter, zodat zij grensoverschrijdend kunnen worden toegepast. Wachten op stabiliteit lijkt daardoor voor dienstverleners niet verstandig. Digitale bereikbaarheid is immers van strategische waarde. Zelf blijven aansluiten op alle inlogmiddelen en alle kennis van de verschillende inlogmiddelen binnen de eigen organisatie opbouwen en beheren, lijkt ook niet de goede weg. Het ligt meer voor de hand gebruik te maken van een in de markt beschikbare oplossing die deze complexiteit uit handen neemt van de dienstverlener. Een oplossing die ervoor zorgt dat alle huidige en toekomstige inlogmiddelen als service beschikbaar worden gesteld aan de dienstverlener. Die op zijn beurt weer zelf bepaalt welke inlogmiddelen hij aan de klanten beschikbaar stelt.
• Focus op inlogmiddelen alleen is niet voldoende
  De praktijk laat zien dat enkel focussen op inloggen niet voldoende is. Na het beschikbaar stellen van elektronische diensten aan klanten, blijkt in veel gevallen dat het toch niet alleen de klant was die toegang moest hebben, maar bijvoorbeeld ook een intermediair of een bewindvoerder. Dit leidt direct tot de behoefte aan een machtigingenregister. Daarnaast blijkt dat de bestaande role-based autorisatie niet meer volstaat. Er is een fijnmaziger autorisatie op basis van attributen nodig. Mede ook om ervoor te zorgen dat privacy in voldoende mate wordt geborgd. In een situatie dat meerdere inlogmiddelen zijn toegestaan, is het belangrijk dat je aspecten als inloggen en attribuut gebaseerde autorisaties, maar ook andere toegangs- en authenticatievraagstukken, in samenhang beschouwt. Je wilt immers niet dat je bij iedere wijziging van een inlogmiddel een nieuw machtigingenregister moet aanleggen of je autorisatiemechanisme moet aanpassen.

Ontzorging dankzij BYOID

Een flink aantal organisaties onderkent bovenstaande principes en kiest voor een oplossing die toegangsverlening langs deze lijnen ondersteunt. Bring Your Own ID (BYOID) is zo’n oplossing. BYOID biedt een koppeling die alle inlogmiddelen op het gewenste betrouwbaarheidsniveau via één technische koppeling aan de dienstverlener beschikbaar stelt. De dienstverlener wordt ontzorgd en hoeft zich geen zorgen te maken over de technische koppelingen met de achterliggende inlogmiddelen. BYOID wordt aangeboden als service en groeit mee met de ontwikkelingen.

Komen er nieuwe inlogmethoden beschikbaar? Dan zorgt BYOID dat deze ook beschikbaar zijn voor de dienstverlener. Dit biedt grote flexibiliteit voor de dienstverleners die op deze wijze altijd de gewenste inlogmiddelen aan hun klanten kunnen aanbieden. Daarbij is de oplossing ook voorbereid op ondersteuning van andere toegangsverlenings- en authenticatievraagstukken, zoals machtigen, attribuut-gebaseerde toegangsverlening en Digitaal ondertekenen. BYOID is een oplossing die ook de klanten van de dienstverlener ontzorgt en wel door hem de keuze te laten maken uit zijn eigen favoriete inlogmiddel. Here I AM, met mijn eigen ik.